Kontaktai
2021.04.22

Viena saugumo spraga – trys kirčiai

Ekspertinė įžvalga

Klientų asmens duomenys yra itin svarbus įmonės turtas – šį faktą įstatymais apibrėžė prieš beveik dvejus metus Europos Sąjungoje įsigaliojęs Bendrasis duomenų apsaugos reglamentas ir savo kailiu patikrino jau toli gražu ne viena Lietuvos įmonė. Geriausiu atveju šio turto praradimas sukels reputacinę krizę, blogiausiu – kils verslo tęstinumo grėsmė.

Žala dėl duomenų praradimo gali būti trejopa. Įmonė, kuri iš pradžių tiesiogiai nukentėjo nuo programišių, o vėliau susilaukė neigiamo klientų vertinimo ir nepasitikėjimo, gali būti nubausta ir trečią kartą – rimtų finansinių sankcijų galima susilaukti ir iš Valstybinės duomenų apsaugos inspekcijos.

„Paradoksalu, bet garsiai nuskambėję pastarųjų mėnesių incidentai veikiausiai tik sustiprins kibernetinį saugumą Lietuvoje: jie aiškiai parodė, kad kibernetinės grėsmės nėra tik teorinės ir kad visuomenė vis blogiau toleruoja aplaidų asmens duomenų tvarkymą. Tai turėtų paskatinti įmones į savo ir klientų duomenų saugumą žvelgti itin atidžiai“, – sako technologijų įmonės „Baltnetos komunikacijos“ Technikos direktorius Audrius Žemgulis.

„Kibernetinės grėsmės nėra tik teorinės ir visuomenė vis blogiau toleruoja aplaidų asmens duomenų tvarkymą.“

Milžinišku žalos potencialu išsiskiria ne tik klientų duomenų nutekėjimas, bet ir konfidencialios verslo informacijos praradimas arba išpirkos reikalavimo atakos, po kurių tenka rinktis tarp dviejų blogybių: didvyriškai iškęsti tą skausmą, kurį įmonei gali sukelti kibernetiniai nusikaltėliai, ar, siekiant skubiai normalizuoti veiklą, sumokėti stambią pinigų sumą bei tokiu būdu padidinti nusikaltėlių motyvaciją skriausti ir kitus verslus.

Jei nuo labai motyvuotų programišių, kurie pasirinko konkretų taikinį bei turi pakankamai laiko, lėšų, sumanumo ir užsispyrimo savo darbą atlikti iki galo, apsiginti bemaž neįmanoma, tai susikurti tokius barjerus, kurie informacines sistemas apsaugotų pakankamai, kad lengviausio uždarbio ieškantys kibernetiniai nusikaltėliai („Verizon“ atliktas tyrimas parodė, jog 86 proc. tokių nusikaltimų vykdomi siekiant finansinio intereso) pasuktų ieškoti lengviau įveikiamų aukų, nėra labai sunku.

Tiesa, be nuolatinio dėmesio kibernetinio saugumo sričiai pakankamas apsaugos lygis vargiai įmanomas.

Fizinio ir technologinio saugumo užtikrinimas

Bet kurios įmonės, kurios veikloje svarbią dalį sudaro skaitmeninis komponentas, kibernetinis saugumas prasideda nuo fizinės skaitmeninių išteklių apsaugos: serveriai neturi būti „numesti“ koridoriuje ar standartiniame rūsyje, kur jie „niekam netrukdo“. Serverinė privalo atitikti tam tikrus saugumo standartus. Jos prieiga turėtų būti kontroliuojama, patalpos stebimos, įeinantys asmenys – registruojami. Energijos tiekimas – užtikrintas tiek iš pagrindinio tiekėjo, tiek atsarginiais energijos šaltiniais. Nepertraukiamam serverių veikimui svarbi ir patalpų temperatūros kontrolė.

Už įmonės skaitmeninį saugumą atsakingi specialistai turėtų be paliovos stebėti naujausių kibernetinių grėsmių tendencijas ir užtikrinti, kad bet kokios tarnybinėse stotyse naudojamos įrangos kibernetinį saugumą garantuojantys naujiniai būtų įdiegiami neatidėliojant. Taip pat svarbu naudoti ir papildomas apsaugos priemones – ugniasienes, antivirusinę ir nuo šnipinėjimo apsaugančią programinę įrangą bei nuo DDoS atakų apsaugančias priemones.

Šiais darbo iš namų laikais svarbu užtikrinti, kad prie vidinių įmonės sistemų nuotoliniu būdu besijungiantys darbuotojai naudotų saugumą didinančias virtualių privačių tinklų (VPN) paslaugas. Kiekvienas darbuotojas turi turėti tik tokią prieigą, kokia yra būtina jo funkcijoms atlikti. Itin svarbu pasirūpinti, kad atsisveikinant su darbuotoju visos jo prisijungimo ir naudojimosi vidiniais įmonės ištekliais galimybės būtų nedelsiant išjungtos – „Verizon“ tyrimo duomenimis, 30 proc. duomenų praradimo atvejų nutinka dėl „vidinių veikėjų“.

„Norint apsaugoti įmonės skaitmeninį perimetrą labai svarbus yra žinojimas, koks tas perimetras yra. Įmonės skaitmeninė infrastruktūra neapsiriboja vien serverine – į vidaus apsaugos zoną patenka ir kiekvienas įmonės ar įstaigos darbuotojo įrenginys, turintis galimybę jungtis prie vidinių sistemų, ir netgi daiktų interneto komponentai“, – sako A. Žemgulis.

citata
„Įmonės skaitmeninė infrastruktūra neapsiriboja vien serverine – į vidaus apsaugos zoną patenka ir kiekvienas įmonės ar įstaigos darbuotojo įrenginys, turintis galimybę jungtis prie vidinių sistemų, ir netgi daiktų interneto komponentai.“
Audrius Žemgulis „Baltnetos“ Technikos direktorius

Pavyzdžiui, vartais į vidinius įmonės tinklus gali tapti belaidžiu būdu valdomas išmanusis termostatas, reguliuojantis dekoratyvinio akvariumo ar serverinės temperatūrą ar bet kuris kitas daiktų interneto kategorijai priskiriamas įrenginys, iš gamyklos paprastai atkeliaujantis su minimaliais saugumo nustatymais, kuriuos būtina sustiprinti. Tad visos gerosios saugumo praktikos turi būti taikomos kiekvienam iš šių įrenginių: atnaujinta programinė įranga, tinkamai apribota prieiga, stiprūs slaptažodžiai yra būtini.

Ypatingą dėmesį reikia skirti įrenginiams, kuriuos naudoja iš namų dirbantys kolegos. Daugelis jų prisijungimui prie darbo sistemų naudoja asmeninę techninę įrangą, kuri gali būti prieinama keliems šeimos nariams. Ir tai nėra tik pandemijos laikotarpio problema, išnyksianti iškart po visuomenės sveikatos problemų suvaldymo: prognozuojama, kad į tradicines darbo vietas grįš ne visi.

Pasak A. Žemgulio, siekiant maksimalaus vidinių įmonės tinklų saugumo, pravartu atkreipti dėmesį ir į „zero trust“ apsaugos modelį, kuris atsisako skaitmeninio perimetro sąvokos ir vadovaujasi principu „nepasitikėk niekuo“. Įgyvendinus organizacijos tinklo architektūrą remiantis šiuo modeliu, kiekvienas vartotojo bandymas pasiekti vidines įmonės sistemas pagal nutylėjimą laikomas nesaugiu ir prieš suteikiant prieigą turi būti patikrintas ir patvirtintas autorizuojant vartotoją bei autentifikuojant jo įrenginį.

„Siekiant maksimalaus vidinių įmonės tinklų saugumo, pravartu atkreipti dėmesį į „zero trust“ apsaugos modelį.“

Žinant, kad visų išvardintų fizinių ir techninių saugumo priemonių gali nepakakti, o verslo informacijai grėsmę kelia ne tik greito pasipelnymo siekiančios nusikalstamos organizacijos, bet ir atsitiktiniai, nenumatyti įvykiai bei gamtos stichijos, būtina užtikrinti ir atsarginių duomenų kopijų kūrimo bei saugojimo procesus. Reguliariai atnaujinama atsarginė duomenų kopija, kuri yra saugoma atskirai nuo darbinės aplinkos, yra geriausia apsauga nuo kibernetinių nusikaltėlių, kurie, užšifravę įmonės duomenų bazes, už jų sugrąžinimą reikalauja pinigų.

Viena silpniausių kibernetinio saugumo grandžių

Sėkmingai pasirinkus už kibernetinį saugumą atsakingą specialistą, specialistų grupę arba partnerį galima tikėtis, kad iš techninės pusės įmonės skaitmeninė infrastruktūra bus apsaugota pakankamai. Bet žmogiškasis veiksnys yra nuolatinės stebėsenos ir tobulinimo reikalaujantis kibernetinio saugumo aspektas: įmonių, ypač didesnių, kolektyvai nuolat kinta ir ne visų darbuotojų žinios kibernetinio saugumo srityje yra vienodos.

Net 22 proc. sėkmingų kibernetinių atakų įvykdomos panaudojant phishingo metodus, todėl kiekvienas atsakingos įmonės darbuotojas privalo būti apmokytas saugaus darbo su e. paštu ir kitomis bendravimo priemonėmis taisyklių, atskirti tikrą elektroninį laišką nuo nusikaltėlių užmesto kabliuko. Pakanka bet kuriam darbuotojui atidaryti vos vieną elektroniniu paštu atsiųstą netinkamą dokumentą, kad įmonės kibernetinio saugumo perimetre atsirastų skylė.

Ne mažiau svarbu yra stiprių prisijungimo prie vidinių įmonės sistemų slaptažodžių politika: ir švietimo, ir techninėmis priemonėmis darbuotojai turėtų būti skatinami ir darbinėms, ir asmeninėms paskyroms naudoti pakankamo ilgio bei pakankamo sudėtingumo slaptažodžius, kuriuos įveikti spėliojimo būdu užtruktų pernelyg ilgai, kad būtų verta tai daryti. Be to, slaptažodis jokiu būdu neturėtų būti vienodas visoms vieno žmogaus paskyroms, nes praradus jį prasčiau apsaugotoje sistemoje kiltų grėsmė visų to asmens paskyrų saugumui.

Gera saugumo praktika turėtų tapti ir reikalavimas slaptažodį periodiškai pasikeisti, net jei neabejojama, jog dėl to pasitaikys situacijų, kuomet slaptažodžiai užmirštami – šiai problemai spręsti sukurtos pakankamai patikimos slaptažodžio keitimo priemonės.

Ir visais atvejais, kai tai įmanoma, rekomenduojama įsijungti bei naudoti dviejų lygių autentifikavimo priemones, kuomet naudotojas atpažįstamas ne tik pagal tai, ką žino (slaptažodį), bet ir pagal tai, ką turi (asmeninį išmanųjį telefoną su atitinkama programėle).

Ekspertinė įžvalga Stiprus slaptažodis: kaip ji susikurti ir kur saugoti?
Pasaulinė slaptažodžių diena, minima pirmą gegužės ketvirtadienį, turėtų visiems priminti atnaujinti savo slaptažodžius į saugesnius. Statistika rodo, kad lengvai atspėjami slaptažodžiai – itin... Daugiau
Klientų sėkmės istorijos Patikėjo visapusę IT sistemų priežiūrą
Beveik tris dešimtmečius vaistų ir vaistinių preparatų platinimu Lietuvoje užsiimanti „Armila“ patikėjusi savo vidinių IT sistemų priežiūrą „Baltnetai“ ne tik padidino darbuotojų darbo našumą, bet... Daugiau
Aktualijos Debesų kompiuterijos naudojimas įmonėse: Lietuva tarp ES vidutiniokių
Debesų kompiuterijos galimybės prieinamos jau gerą dešimtmetį. Daugybė skaitmeninių paslaugų, prie kurių esame įpratę kaip vartotojai, pavyzdžiui, socialiniai tinklai, interneto bankai ar biuro... Daugiau
Aktualijos Kaip išsirinkti patikimą duomenų centro paslaugų teikėją?
Praėjusių metų pradžioje užklupusi pandemija gerokai pagreitino verslo procesų skaitmenizaciją ir perkėlimą į debesis. Kelis kartus padidėjus internetu teikiamų paslaugų paklausai įmonės per trumpą... Daugiau
Naujienos Vinted iš Baltnetos nuomojasi pustrečio šimto serverių
Vieną didžiausių duomenų centrų infrastruktūrų šalyje valdanti bendrovė Baltneta teiks dedikuotų serverių nuomos ir kolokacijos paslaugas didžiausiai Europoje internetinei naudotų mados prekių... Daugiau
Naujienos Lietuvos geležinkeliai kritinės svarbos eismo valdymo įrangą talpins Baltnetos duomenų centre
Duomenų centrų paslaugas teikianti bendrovė Baltneta ir Lietuvos geležinkeliai sudarė 3 metų trukmės sutartį dėl duomenų centro ploto nuomos, kur bus talpinama naujos kartos GSM-R ryšio įranga.... Daugiau
Naujienos Baltnetos duomenų centrams suteiktas PCI DSS sertifikatas
Baltneta – pirmoji duomenų centrų valdytoja Lietuvoje, gavusi mokėjimo kortelių duomenų apsaugos sertifikatą PCI DSS v3.2.1 (Level 1), patvirtinantį, kad bendrovės duomenų centruose gali būti... Daugiau
Aktualijos Microsoft 365 sprendimas didesniam saugumui
Kibernetinio saugumo ir įsilaužimų į įmonių sistemas statistika kalba pati už save – žmogiškosios klaidos yra neišvengiamos ir dažnai vaidina nemenką vaidmenį duomenų praradimo atveju. Daugiau
Naujienos Daugiau galimybių su Tellq Multi
Šiais metais patogus ir efektyvus verslo komunikacijos su klientais organizavimas tapo itin aktualus, todėl mes susikoncentravome į Tellq Multi sistemos funkcionalumo plėtimą, dizaino atnaujinimą... Daugiau
Aktualijos Baltnetos veiksmai COVID-19 viruso pandemijos metu
Veiklos tęstinumo plane mes esame numatę, kaip dirbsime visuotinės pandemijos metu. Tai leido pradėti taikyti numatytas tvarkas tą pačią dieną, kai Pasaulio sveikatos organizacija (PSO) COVID-19... Daugiau
Naujienos Lietuvos informacinių technologijų kompanijos vienijasi dėl švarios interneto aplinkos
Šiandien, visame pasaulyje minint Saugesnio interneto dieną, Lietuvos elektroninės informacijos prieglobos paslaugų teikėjai jungiasi prie Memorandumo dėl švarios interneto aplinkos ir tokiu būdu... Daugiau
Naujienos Baltneta užbaigė 3 mln. eurų vertės duomenų centro plėtros etapą
Bendrovė Baltnetos komunikacijos oficialiai užbaigė antrą Liepkalnio duomenų centro plėtros etapą, kuris leis du kartus išplėsti jos valdomo duomenų centro pajėgumus. Į šį plėtros etapą bendrovė... Daugiau
Naujienos Baltnetos pajamos augo 10 proc., pelnas – beveik trečdaliu
Bendrovė Baltnetos komunikacijos per 2018 m., palyginti su ankstesniais metais, savo pajamas padidino daugiau kaip 10 proc. – iki 11,8 mln. eurų. Grynasis bendrovės pelnas, išaugęs 31 proc.,... Daugiau
Naujienos Baltneta sėkmingai įgyvendino sprendimą, kuris pagerins interneto ryšio kokybę visoje Lietuvoje
Bendrovė Baltnetos komunikacijos sukūrė didžiausią apsikeitimo duomenimis mazgą Balt-IX (angl. Internet Exchange) Baltijos šalyse, vienijantį 41-ą narį. Šiuo interneto infrastruktūros sprendimu jau... Daugiau
Naujienos Į didžiausio Lietuvoje duomenų centro statybas Baltneta investuoja 3 mln. eurų
Bendrovė Baltnetos komunikacijos pradėjo Vilniuje esančio Liepkalnio duomenų centro plėtrą, į kurią numatyta investuoti apie 3 mln. eurų. Užbaigus naujo pastato statybas, kuriame bus galima... Daugiau
Klientų sėkmės istorijos Nepraleiskite nė vieno skambučio su Tellq
Kiekvienas verslas žino, kad vienas praleistas skambutis lygus vienam prarastam potencialiam klientui. Išspręskite praleistų ir neatskambintų skambučių problemą su Tellq! Daugiau